Scarica scheda servizio

Estratto dal documento «Guida al Contratto Quadro “Servizi di Gestione delle Identità Digitali e Sicurezza Applicativa”»
Servizio L2.S1.2 - Identity & Access Management (I&AM)
L’Access Manager rappresenta un componente software che regola l’accesso alla risorsa gestita da un Service Provider
(SP).
Il servizio I&AM ha quindi come finalità primaria la gestione delle attività d’identificazione ed autenticazione tramite
Identity Provider accreditati e, in completa autonomia, la gestione delle autorizzazioni propedeutiche all’accesso da parte
di utenti esterni (cittadini) ai portali delle Pubbliche Amministrazioni o ai servizi da essa erogati in rete garantendo piena
compatibilità con quanto previsto dall’articolo 17-ter del DL 69 del 21/6/2013.
Al fine di rispondere ai requisiti SPID definiti in (1)1, il servizio I&AM implementa la specifica SAML nella parte relativa al
Service Provider, permettendo quindi alle Pubbliche Amministrazioni che espongono servizi web per il cittadino di aderire
alle regole tecniche definite da SPID senza dover realizzare e/o modificare le proprie infrastrutture tecnologiche. Il servizio
mette quindi a disposizione delle PA una componente tecnologica in ambiente cloud che, inserendosi tra il cittadino e le
risorse dell’Amministrazione, gestisce le richieste e, operando gli opportuni passi di identificazione e autorizzazione,
permette l’accesso alla risorsa richiesta.
Secondo le regole tecniche SPID, il flusso tipo implementato è rappresentato nel diagramma seguente.
1
ID
DESCRIZIONE
1
Richiesta di servizi: il titolare dell’identità digitale richiede accesso ad un servizio per
via telematica connettendosi al sito del fornitore dei servizi
2
Inoltro verso Identity provider: il fornitore dei servizi rimanda il titolare dell’identità
digitale presso il proprio gestore dell’identità digitale
3-4
Richiesta e verifica credenziali: il gestore dell’identità digitale verifica l’identità del
soggetto sulla base di credenziali da lui accettate ed esibite dal soggetto
5
Risposta: se la verifica ha esito positivo, viene emessa a favore dell’erogatore del
servizio una certificazione (asserzione di autenticazione SAML) di autenticazione e
rimanda il soggetto presso il fornitore dei servizi
6-7
Richiesta e verifica attributi: il fornitore dei servizi può avere la necessità di verificare
ulteriori attributi presenti nel profilo utente e richiesti dalle policy di sicurezza che
regolano l’accesso al servizio per cui, in questo caso, dopo aver individuato il gestori
di attributi qualificati in grado di attestarne la validità, inoltra a questi richiesta di
certificazione presentando i riferimenti dell’identità digitale per la quale si richiede la
verifica. Il risultato della richiesta è l’emissione di una certificazione (asserzione di
attributo SAML) emessa a favore del fornitore dei servizi
8
Verifica richiesta: il fornitore dei servizi raccolte tutte le certificazioni (asserzioni
SAML) di identità e di attributi qualificati presenti nel profilo e necessarie per
l’applicazione delle policy di sicurezza relative al profilo utente del soggetto
richiedente l’erogazione del servizio può verificarne la sussistenza e decidere se
soddisfare o rigettare la richiesta di servizio avanzata
AgID – Regolamento recante le modalità attuative per la realizzazione dello SPID (art. 4, comma 2, DPCM 24/10/2014)
1
Estratto dal documento «Guida al Contratto Quadro “Servizi di Gestione delle Identità Digitali e Sicurezza Applicativa”»
Nella figura seguente viene rappresentato come il servizio di Identity & Access Management proposto interagisce con
tutti gli altri elementi e attori dell’intero processo di autenticazione e autorizzazione.
Figura 1 - Servizio di I&AM
Il servizio di Identity & Access Management ha come finalità la completa gestione delle attività di identificazione,
autenticazione ed autorizzazione propedeutiche all’accesso da parte di utenti esterni al portale dell’Amministrazione o ai
servizi da essa erogati in rete. Il servizio deve essere condotto con modalità conformi ai requisiti di sicurezza richiesti dalle
normative vigenti, e garantire la compatibilità con quanto previsto dall’articolo 17-ter del DL 69 del 21/6/2013.
Il servizio di I&AM consiste nella gestione delle attività di identificazione, autenticazione ed autorizzazione all’accesso ai
portali delle Amministrazione orientato ai propri utenti esterni.
Secondo il classico modello logico il sistema prevede due sottosistemi:


Policy Enforcement, che si interfaccia con il mondo esterno (Identity Provider e Attribute Authority) al fine di
ricevere le richieste per l’applicazione delle policy di sicurezza associate alle risorse.
Policy Decision, in grado di accedere ai i profili degli utenti e alle policy di sicurezza associate alle risorse per la
verifica della legittimità della richiesta.
Per l’autenticazione dei propri utenti il servizio può fare ricorso ad un Identity provider esterno all’Amministrazione.
Per la verifica degli attributi associati al profilo di un utente, esterni all’Amministrazione, il servizio farà ricorso ad Attribute
Authority esterne.
Il servizio comprende la gestione delle policy di accesso ai servizi e la gestione del ciclo di vita dei profili utente.
Deve essere prevista la suddivisione degli utenti in gruppi omogenei (RBAC).
Il gestore del servizio di I&AM prevede, su richiesta, la presa in carico e la migrazione dei profili utente gestite
dall’amministrazione.
2
Estratto dal documento «Guida al Contratto Quadro “Servizi di Gestione delle Identità Digitali e Sicurezza Applicativa”»
Caso d’uso
ID
DESCRIZIONE
1
L’utente (cittadino), che vuole utilizzare i servizi resi disponibili da un'Amministrazione, si
collega al portale della PA e iniziare la navigazione
2
Il Point of Contact (PoC) intercetta la richiesta dell’utente di accedere a risorse protette
da autenticazione e gli presenta la lista degli IdP federati, tra i quali l’utente può
individuare e selezionare il proprio
3
L’IdP, a seconda del livello di autenticazione richiesto, presenta all’utente il challenge di
autenticazione (utente+password, oppure utente+password+OTP, oppure
utente+password+certificato digitale) che inserirà le proprie credenziali.
Ad autenticazione avvenuta, l’IdP emette un’asserzione di SAML Authentication
Response che viene inviata al Point of Contact e si verificano i seguenti tre casi:
o
47
o
o
Creazione Utente - nel caso di utente non registrato all’interno del servizio
I&AM, si provvede alla creazione automatica del nuovo utente sul Policy Store
Aggiornamento Attributi - se l’utente è già presente, gli attributi dell’identità
ricevuti dall’IdP disponibili dalla SAML Assertion sono aggiornati
Arricchimento (opzionale) – viene composta una query per le Attribute
Authority qualificate. Tale passo è funzionalmente eseguito (indicato quindi
come opzionale) se e solo se presenti eventuali attributi da validare tramite
Attribute Authority certificate AgID
8
In base alla risposta dell’IdP, il Poc, tramite il Policy Decision Point, decide se concedere
l’autorizzazione all’utente. In caso di permessi insufficienti il flusso s’interrompe senza
erogazione del servizio.
9
Il PoC incapsula gli attributi dell’utente e i profili applicativi, li invia all’applicazione che
erogherà il servizio
10
L’Amministratore della PA, tramite interfaccia Web, gestisce i profili utente, dalla loro
creazione, modifica e rimozione.
Tecnologie e prodotti di riferimento
In questo paragrafo è descritta l’architettura applicativa del sistema di I&AM. Il componente principale di questo sistema è
rappresentato dal prodotto IBM Security Access Manager (ISAM). Di seguito le componenti dell’architettura applicativa che
costituiscono la piattaforma di erogazione servizio:

SAML Federation Gateway: realizzato tramite la soluzione IBM Security Federated Identity Manager, fornisce lo
strato applicativo necessario per la gestione dei servizi utili alla realizzazione delle dinamiche dello standard
SAML. Specificatamente il modulo SSO Security Service garantisce le primitive necessarie per allestire un Single
Sign On federato e quindi il “trust” tra partner qualificati come Identity Provider o come Service Provider; il
modulo STS Security Token Service consente la conversione di token di sicurezza, in particolare l’asserzione
SAML proveniente dall’IdP nel token ISAM direttamente gestibile dal Web Reverse Proxy ISAM.
3
Estratto dal documento «Guida al Contratto Quadro “Servizi di Gestione delle Identità Digitali e Sicurezza Applicativa”»
Identity
Identity
Identity
Provider
Provider
Provider
www
Cittadini
Identity Registry LDAP
(IBM SDS)
Log Server
IBM
Security
QRadar
SIEM
Directory Integrator
(IDI IBM)
PoC Reverse Proxy
(ISAM)
DB2 Server
Policy Store
Policy Enforcement Point
Just-In-Time Provisioning
PDP
Policy Server
(ISAM)
SSO
Protocol Service
STS
Security Token
Service
SAML Federation Gateway
(FIM module ISAM)
Policy Decision Point
Operatori di I&AM
Amministratori
Identity & Access Management (I&AM)
Web Profiles
Manager
Amministratore
Identità PA
Amministratore
Identità PA
Applicazione A
Applicazione B
PoC Reverse Proxy
(ISAM)
Policy Enforcement Point
Portale di Gestione I&AM
Pubblica Amministrazione A
Pubblica Amministrazione B
Figura 2 - Schema applicativo I&AM

Policy Enforcement Point (PEP): verifica le credenziali e applica le politiche di controllo relative alle richieste di
accesso degli utenti, gestendo la sessione Web nel suo intero ciclo di vita. È realizzato tramite il componente
WebSEAL del IBM Security Access Manager (ISAM) e applica le politiche di controllo accessi alle applicazioni Web
di back-end delle Pubbliche Amministrazioni. Nell’ambito IA&M si applicano le seguenti funzioni:
o Autorizzazione: fornisce autorizzazione a “Grana Grossa” (a livello di URL) per l’accesso alle risorse;
accede alla User Directory e al database delle policy per reperire gli attributi utente e decidere se
consentire o negare gli accessi
o Session Management: per la gestione delle sessioni utente (controllo del tempo di vita della sessione,
logout, ecc.) e le configurazioni in cluster (scalabilità orizzontale, HA)
o Single Sign-On: ISAM può integrare in vario modo le applicazioni di back-end e fornire il Web SSO; per
ogni sistema di back-end viene configurata una “junction” che regola come le informazioni sull’utente
vengono trasmesse all’applicazione: via HTTP header, BA authentication, Kerberos, LTPA, TAI, form
authentication, etc.
o Audit: traccia tutte le richieste ricevute e processate ed è pienamente configurabile (livello di dettaglio
dell’audit, periodo di retention, ecc..); può inviare gli eventi registrati ad un SIEM esterno
o Load Balancing: ISAM include una componente di Load Balancer allo scopo di semplificare le
configurazioni in cluster (scalabilità, HA) e ridurre le dipendenze da componenti esterni di infrastruttura.

Policy Store: è realizzato mediante IBM Security Directory Server (SDS) e registra su un server LDAP le utenze
associate all’identità digitale con gli eventuali gruppi ed attributi. Tali informazioni sono utilizzati dal PDP per
validare le eventuali scelte autorizzative che vengono applicate dal PEP.
4
Estratto dal documento «Guida al Contratto Quadro “Servizi di Gestione delle Identità Digitali e Sicurezza Applicativa”»

Policy Decision Point (PDP): le politiche di accesso sono governate centralmente attraverso il Policy Server
dell’ISAM, che costituisce funzionalmente il “Policy Decision Point” della soluzione. Il Policy Server gestisce il
Policy Store e permette agli amministratori del sistema:
o la definizione di utenti, gruppi e risorse
o la configurazione delle policy (ACL, POP, authorization rules) che regolamentano l’accesso alle risorse
o La distribuzione delle policy ai Reverse Proxy.

Just-in-time Provisioning: implementato essenzialmente dalla soluzione IBM Directory Integrator (IDI), è il tool
programmabile per lo scambio di dati tra meta-directory interconnesse per mezzo di connettori predefiniti. Nello
specifico la sua funzione è di implementare la logica di “Just-in-Time Provisioning” necessaria per la creazione
dell’utente I&AM, nel dominio di sicurezza ISAM, in seguito alla prima autenticazione di una identità ed
all’aggiornamento degli attributi contenuti all’interno delle asserzioni SAML ricevute dall’IdP. Lo stesso strumento
IDI è utilizzato per il popolamento massivo, a tempo zero, del Policy Store nel momento in cui un’Amministrazione
viene accreditata al servizio I&AM.

Web Profile Manager: la gestione delle autorizzazioni fatta a livello di URL (HTTP header) è resa disponibile
attraverso le funzioni contenute all’interno del “Web Profile Manager” accessibile sia mediante l’infrastruttura
dedicata al Sistema di Gestione e Governo della Fornitura della Fornitura sia dagli strumenti nativi delle soluzioni
utilizzate.
Mediante tali funzionalità l’Amministratore di una PA e/o gli operatori RTI possono gestire lo spazio di accesso a
un’applicazione e gli utenti che accedono all’applicazione stessa.
L’Amministratore locale della PA ha la possibilità di accedere a una interfaccia web con visibilità dei soli dati degli utenti
profilati per applicazioni erogate dalla propria Amministrazione e per le quali è referente a livello di Contratto Esecutivo.
Ha facoltà di ricercare le proprie utenze nell’Identity Registry I&AM, di visualizzarne gli attributi identificativi, non
identificativi e qualificati, già compilati dall’IdP e dal SP dello I&AM (gli attributi non saranno pertanto modificabili), e
procedere autonomamente all’assegnazione dei profili applicativi.
L’operatore di RTI ha la possibilità di dichiarare/definire nuovi profili applicativi e utilizzarli nelle assegnazioni,
provvedendo a verificare la coerente mappatura sul profilo applicativo reale nell’applicazione target. Analogamente
l’operatore di RTI ha la possibilità di definire particolari ACL per un controllo capillare delle autorizzazioni sulle singole URL
dell’applicazione web PA.
Le funzionalità disponibili su tale applicazione sono quindi le seguenti:



Ricerca di utente accreditato all’Amministrazione, visualizzazione dei suoi attributi identificativi e non, qualificati e
profili applicativi correntemente assegnati;
Modifica dell’assegnazione dei profili applicativi;
Profilatura nuovo utente: in questa fase è necessario specificare solamente un identificativo univoco (esempio:
codice fiscale). Se già presente nello I&AM, l’utente è visualizzato con tutti i suoi attributi e può essere aggiornato
con l’assegnazione di nuovi profili. Se non ancora presente, l’utente è creato senza gli attributi personali, che
saranno comunque valorizzati dall’IdP e dall’SP alla prima richiesta di accesso.
5